Skip to content

Investigation à large périmètre suite à une compromission par le ransomware LockBit Black

RÉFÉRENCES

Retrouvez toutes nos références

LEXFO a réalisé de nombreuses missions dans des contextes variés et sensibles et dispose de références dans différents secteurs d’activité.
 

Investigation à large périmètre suite à une compromission par le ransomware LockBit Black

CONTEXTE, OBJECTIFS & DESCRIPTION

Le CSIRT LEXFO a été sollicité par une société de service pour intervenir sur un SI d’environ 5 000 serveurs et > 25 000 utilisateurs. Une fuite de données avait été détectée, puis le parc a été impacté par le ransomware LockBit Black.

Les objectifs étaient les suivants :

  • Comprendre le processus d’attaque et identifier le patient zéro (vecteur de compromission et origine de l’attaque)
  • Analyser l’étendue de la compromission, ainsi que le mode opératoire des attaquants afin d’éviter une reprise des activités malveillantes
  • Assister le client dans son plan de reprise d’activité
  • Cartographier et limiter la surface d’exposition externe de l’entité victime sur Internet via le recours à notre solution Uncovery.io
  • Récupérer les données sur des machines chiffrées par les attaquants

La mission s’est déroulée en plusieurs étapes :

  • Collecte d’éléments de preuves variés
  • Analyses système et réseau à l’aide d’outils dédiés et développés par le CSIRT LEXFO
  • Rétro-ingénierie de code malveillant (reverse)
  • Recherche d’indicateurs de compromission (IOC)
  • Cartographie de l’environnement AD et Réseau de l’entité victime
  • Récupération de données chiffrées

Mission

MODALITÉS D'INTERVENTION

Périmètre de la mission : SI d’environ 5 000 serveurs et > 25 000 utilisateurs
Localisation : Locaux LEXFO

FACTEURS-CLÉS DE SUCCÈS
  • Expérience de pointe en réponses à incidents
  • Expertise avancée en techniques d’attaques et menaces cyber
  • Connaissance approfondie du contexte métier et des enjeux du client
PARTAGER LA RÉFÉRENCE